Suche nach Systemaktualisierungen sendet IMEI, SN und Handy-Nummer an tinno.com!

S

SystemAddict

Neues Mitglied
7
Achtung! Jede automatische Suche nach Systemaktualisierungen sendet immer (unverschlüsselt) die IMEI, Serien-Nummer und Handy-Nummer an tinno.com.


DOSU2sG.png



Das konnte ich bei meinem neu gekauftem Wiko Darkmoon feststellen. Ich bin mir sicher, dass andere Wikos das gleiche senden. Der Server von tinno.com steht in China. Um das zu unterbinden kann man eine Firewall-App installieren. Allerdings kann man ohne in die ROM einzugreifen, dann keine Systemupdates machen, ohne die Daten zu versenden.
//OFFTOPIC: Wer sein Darkmoon über SJroot (RootGenius) gerootet hat, sollte die App KingRoot entfernen und mit SuperSU ersetzen, da KingRoot auch Daten nach China sendet.


Wenn man ein gerootetes Handy hat, kann man überprüfen ob seine Nummer auch gesendet wird.

Anleitung
1. Fiddler installieren: Download Fiddler Web Debugging Tool for Free by Telerik

2. Fiddler konfigurieren:

DioaeZd.png


3. ProxyDroid installieren: https://play.google.com/store/apps/details?id=org.proxydroid

4. Handy mit eigenem Netzwerk verbinden. ProxyDroid konfigurieren mit der lokalen IP des Computers.

nlWbmjr.png


5. Nach Systemaktualisierungen suchen oder warten bis das Handy automatisch sucht (eventuell dann neuverbinden)

y3oqTdm.png


Die gleiche Information habe ich im französischen Wiko-Forum gepostet.
 
  • Danke
Reaktionen: AM-I-ROOT?, jan.hen, capedroid und 2 andere
Danke für den Hinweis.
Laut Wiko - Wikipédia scheint dieses Unternehmen die Telefone zu produzieren und scheinbar auch für die Software zuständig zu sein. Damit ist es nicht zu ungewöhnlich, dass die Daten nach China geschickt werden. Warum das aber unverschlüsselt zu geschehen hat ...
 
Es ist schon klar, dass Wiko von Tinno die Geräte bekommt.
Die Sache ist folgende:
Tinno stellt anscheinend die Systemupdates für Tinno Geräte bereit. Um aber zu bestimmen welche Updates das Gerät benötigt, muss Tinno das Modell des Geräts wissen. Nur braucht Tinno bestimmt nicht deine Handy-Nummer um zu bestimmen ob ein Update für dein Gerät bereitstellt.

Die IMEI und Seriennummer des Geräts ist immer eindeutig und liefert die Information um welches Handy-Modell es sich handelt. Tinno würde es allerdings reichen, wenn das Handy die Modell-Bezeichnung und installierte ROM-Version sendet. Diese Information kann man dann nicht eindeutig einer bestimmten Person zuordnen.

Was Tinno macht, ist aus der Sicht des Datenschutzs fragwürdig:
Da man die automatischen Updates ohne Firewall nicht deaktivieren kann, hat Tinno die Möglichkeit immer wenn du mit dem Internet verbunden bist, deinen ungefähren Ort zu bestimmen über deine IP-Adresse. Tinno wird auch sofort sehen, wenn du deine SIM-Karte austauschst, da dann deine neue Handy-Nummer gesendet wird.
Das ganze wird dann noch in Klartext über HTTP versendet. Wenn ich mit einem öffentlichen Hotspot verbunden bin, kann jeder der Lust hat, den Netzwerkverkehr aufzeichnen und meine Handy-Nummer ermitteln. Nein, danke.
 
Das ist nicht schön von Wiko.

Also alle Besitzer eines Wiko, Wiko anschreiben und beschweren, die sollen sich bitte an geltendes EU Recht halten, dazu gehört auch der Datenschutz, welcher so eine Datenübertragung (auch noch unverschlüsselt) verbietet.

Der ursprüngliche Beitrag von 09:56 Uhr wurde um 09:58 Uhr ergänzt:

PS: wer französisch kann, kann sich in den Foren dort bemerkbar machen. Nur wenn genügend sich bescheren ist eine Änderung in Sicht.
 
Tinno braucht sehr wohl die Telefonnummer, da manche bugs netzabhängig sind.



Gesendet von meinem CINK PEAX 2 mit der Android-Hilfe.de App
 
Zuletzt bearbeitet von einem Moderator:
Um einen netzabhängigen Bug zu beheben, braucht Tinno nicht zu wissen, welches Netz du benutzt. Denn jeder bekommt das gleiche Update, egal in welchem Netz er ist. Außerdem liefert schon die Operator-ID (MCC mit MNC) die Information, welches Netz du benutzt. Die Nummer wird einfach mitgesendet, weil sie einfach diese Information haben wollen. Sie können gezielt nachverfolgen, wo welches Gerät mit welcher Nummer benutzt wird - oder sie machen es einfach, weil sie es können.
 
Zuletzt bearbeitet von einem Moderator:
  • Danke
Reaktionen: borisku
Für eine allgemeine Diskussion über Datenschutz EDIT (v. 29.1.2014) , deren - zudem polemisch geführten - Anfänge ich gestern hier aus dem aktuellen Thread gelöscht habe, /EDIT gab es [OFFURL="https://www.android-hilfe.de/plauderecke/402306-habt-ihr-schon-gehoert-interessantes-um-datensicherheit-mit-android-aehnliches.html?highlight=Datenschutz"]diesen Thread[/OFFURL] bei AH (der aber geschlossen wurde, weil zuviel OT produzert wurde). Nichtsdestotrotz ist sie hier ebenfalls OT, also bitte nur noch zum eigentlichen (im Titel des Threads genannten!) Thema posten.
 
Zuletzt bearbeitet:
Hallo,

ich habe auf Wiko`s Facebookseite um eine Aussage von Wiko zum Sachverhalt angefragt.

"Antwort" von Wiko: -> Kommentar gelöscht:thumbdn:.

So viel dazu :mad:

Statt zu Antworten werden unangenehme Kommentare gelöscht und ignoriert, auch eine Art von "Support".

Grayson
 
Hi,
cool von dir, dass du Wiko mit dem Problem konfrontiert hast.
Ich habe ehrlich gesagt auch nichts anderes erwartet. Wenn man hier wirklich was erreichen will, muss man schon mit deutlich härteren Mitteln vorgehen. Solange es kein Shitstorm gegen die gibt, wird Wiko auch nichts tun.


@hävksitol
Vielleicht wäre es nicht schlecht, wenn man ein Thread öffnen könnte, wo allgemeine Diskussion über Datenschutz nicht OT ist. Ist nicht so toll, wenn jeder Thread geschlossen wird, wenn Leute kommen, die zum Thema OT produzieren. So kann man jeden Thread "sabotieren".
 
Zuletzt bearbeitet von einem Moderator:
Also ich hab auch mal den Direktkontakt zu Wiko bemüht - Antwort noch offen.
gerade die Umstellung auf einen HTTPS Server sollte relativ problemlos gehen - wenn man will. Leider sind da auch sehr viele chinesische Unternehmen sehr blauäugig unterwegs.
 
Zuletzt bearbeitet von einem Moderator:
Danke auch dir für deinen Einsatz.
Wiko wird trotzdem nicht um ein Update in diesem Fall herumkommen.
1) Es reicht nicht, dass der Server HTTPS kann. Da das Smartphone zuerst die HTTP Adresse kontaktiert, kann jeder Angreifer den "Upgrade" auf eine HTTPS Verbindung unterbinden. Zu weit gedacht. Die Anfrage wird immer unverschlüsselt sein, da der Server erst nach der Anfrage auf https umleiten kann.
2) Auch wenn Wiko auf HTTPS umstellt, akzeptiere ich es trotzdem nicht, dass meine Handy-Nummer mitgesendet wird. Die geht sie nichts an und sie hat keinen technischen Nutzen für sie.
 
Zuletzt bearbeitet von einem Moderator:
SystemAddict schrieb:
@hävksitol
Vielleicht wäre es nicht schlecht, wenn man ein Thread öffnen könnte, wo allgemeine Diskussion über Datenschutz nicht OT ist.
Zum Vergrößern anklicken....

Einen solchen Thread gibt es: [OFFURL]https://www.android-hilfe.de/plauderecke/402306-habt-ihr-schon-gehoert-interessantes-um-datensicherheit-mit-android-aehnliches.html[/OFFURL]
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

momoturtle
SMS und Chatfunktion RCS nur bei Internetverbindung möglich
  • momoturtle
Antworten
2
Aufrufe
437
momoturtle
momoturtle
W
Wiko View XL Handy hat Wackelkontakt an der Ladebüchse lohnt es sich eine Kleine Ladestation
  • WikoFan400
Antworten
4
Aufrufe
466
WikoFan400
W
V
Wiko view Prime Android 7.1.2 ohne TWRP Rooten
  • Viewer50
Antworten
0
Aufrufe
283
Viewer50
V
Zurück
Oben Unten